 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 26 Marzo 2004 |
| NOME: Bagle.U |
| ALIAS: I-Worm.Bagle.s, W32/Bagle.U@mm |
| DIMENSIONE: 8208 bytes |
Tool di Disinfezione F-secure ha rilasciato u tol di disinfezione è disponibile al dowload ai seguenti link:
ftp://ftp.f-secure.com/anti-virus/tools/f-bagle.exe Descrizione breve Una nuova variante di Bagle - Bagle.U è stata rilevata il mattino
del 26 Mazo 2004. E' una variante molto semplice del worm che si invia
in mail con subject vuoto, senza testo e con un nome di allegato generato
casualmente. Descrizione dettagliata Il file del worm è un eseguibile di 8208 bytes, compresso con FSG.Quando il file del worm viene eseguito, apre il gioco di carte Hearts, associato al file MSHEARTS.EXE. Successivamente il worm si copia nella directory di Sistema di Windows come GIGABIT.EXE e crea la seguente chiave di avvio nel registro di sistema di windows: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] dove %winsysdir%rappresenta la directory di sistema di Windows. Prima di iniziare la diffusione, il worm colleziona indirizzi email dai file con queste estensioni:
Il worm non manda mail agli indirizzi che contengono le seguenti stringhe:
Il subject del messaggio infetto è vuoto e non c'è testo nel corpo della mail. L'allegato ha nome casuale ed estensione EXE. Il worm ha una backdoor che ascolta sulla porta 4751. Come nelle varianti precedenti il worm si connette ad un sito web (questo volta è solamente un sito situato in Germania) e invia i dati dell' ID della backdoor e della porta dove ascolta all'autore del worm. Rilevazione F-Secure Anti-Virus rileva Bagle.U con gli aggiornamenti pubblicati il 26 Marzo 2004: [FSAV_Database_Version] Version=2004-03-26_01
F-Secure Corporation |